none
Benutzerzertifikate für eine zweite Domäne ausstellen RRS feed

 > 

  • Allgemeine Diskussion

  • Discussion
    Anmelden
    0
    Anmelden

    Hallo,

    da ich mein voriges Problem gelöst habe, kommt nun prompt das zweite. In unserer Infrastruktur befinden sich zwei Domänen.

    In der ersten Domäne mit rund 200 Benutzern, habe ich eine Zertifizierungsstelle installiert und kann ohne Probleme Benutzerzertifikate ausstellen.

    Wenn ich aber nun aus der zweiten Domäne mit rund 100 Benutzern auch Zertifikate ausstellen möchte, funktioniert das nicht. Setzt das eine zweite Zertifizierungsstelle vorraus? Stichwort Cross-Zertifizierung?

    Kann mir jemand etwas genaueres dazu schildern?

    Vielen Dank

    Gruß

    Gruß Martin

    Dienstag, 24. Juli 2012 10:16
    |

Alle Antworten

  • Discussion
    Anmelden
    0
    Anmelden

    Vorab:

    • Mit "zwei Domänen" meinst Du 2 Domänen eines Forest oder zwei getrennte Forests?
    • Die jetzige Zertifizierungsstelle ist AD-Integriert (Enterprise) oder Standalone?
    • Gibt es zugehörige Root-CAs?
    • ...

    Deshalb: Beschreibe uns die zugrundeliegende Infrastruktur vorab im Detail.

    Des Weiteren ist die genaue Vorgehensweise im Fehlerfall und die dazugehörige, so exakt wie mögliche Fehlerbeschreibung inkl. Events im zugehörigen Eventlog des Clients als auch auf der betroffenen CA unabdingbar.

    Es kann an vielem liegen: CRL Checking, Broken Certificate Chain, Berechtigungen, Trusts usw.

    -
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net

    Dienstag, 24. Juli 2012 11:39
    |
  • Discussion
    Anmelden
    0
    Anmelden
    Hallo,

    es ist ein Forest mit 2 gleichberechtigten Domänen. Die erste Domäne besitzt eine Standalone Zertifizierungsstelle.
    Bisher wurde über die erste Domäne bzw. Zertifizierungsstelle ein Root-CA ausgestellt.

    Wenn ich jetzt aber von der zweiten Domäne, die Website CerSRV von der ersten Domäne aufrufe, kann ich zwar Zertifikate ausstellen, aber z.B. kein Benutzerzertifizat, da der User, verständlicherweise, nicht im AD der ersten Domäne vorhanden ist.

    Das Ausstellen von Zertifikaten für User aus der ersten Domäne funktioniert problemlos. Das Root-CA der ersten Domäne ist auch bei allen Usern in den Stammzertifikat eingebunden.

    Gruß Martin

    Mittwoch, 25. Juli 2012 05:31
    |
  • Discussion
    Anmelden
    0
    Anmelden

    > es ist ein Forest mit 2 gleichberechtigten Domänen.

    Also ein Forest mit einer Root-Domain und 2 Sub-Domain oder ein Forest mit einer Root-Domain und einem separaten Tree?

    > Die erste Domäne besitzt eine Standalone Zertifizierungsstelle.

    Dies ist die Root-CA oder eine Intermediate/Issuing-CA?

    > Bisher wurde über die erste Domäne bzw. Zertifizierungsstelle ein Root-CA ausgestellt.

    Wie meinen? Definiere, was für Dich "über die erste [..] Zertifizierungsstelle ein Root-CA ausgestellt" bedeutet..

    > Wenn ich jetzt aber von der zweiten Domäne, die Website CerSRV von der ersten Domäne aufrufe, kann ich zwar Zertifikate ausstellen

    D.h. die Benutzer aus der Domäne B haben Zugriff auf die CA der Domäne A. Wenn diese jedoch eine Standalone CA ohne AD-Integration ist, wie ist hier die Konfiguration der Berechtigungen vorgenommen worden?

    > aber z.B. kein Benutzerzertifizat, da der User, verständlicherweise, nicht im AD der ersten Domäne vorhanden ist.

    User sollten über Global Katalogs und Vertrauensstellungen forestweit bekannt sein. Nur die zugehörigen Berechtiungen sollten ggf. verifiziert werden.

    Überprüfe diesbzgl. auch einmal folgenden Blog-Artikel:

    CertSrv Request - DCOM Fehler 2147942405 beim Aktivieren von Class ID {D99E6E74-FC88-11D0-B498-00A0C90312F3}
    http://blogs.technet.com/b/deds/archive/2011/12/08/certsrv-request-dcom-fehler-2147942405-beim-aktivieren-von-class-id-d99e6e74-fc88-11d0-b498-00a0c90312f3.aspx

    > Das Root-CA der ersten Domäne ist auch bei allen Usern in den Stammzertifikat eingebunden.

    Sowohl in der Domäne A als auch in der Domäne B? Gibt es zwischen der Root CA und dem ausgestellten Zertifikat noch weitere Intermediate bzw. Issuing CAs?

    Verifiziere auch einmal Deine gesamte PKI Inrastruktur anhand folgender Artikel-Serie (I-V):

    Designing and Implementing a PKI: Part III Certificate Templates
    http://blogs.technet.com/b/askds/archive/2010/05/27/designing-and-implementing-a-pki-part-iii-certificate-templates.aspx

    -
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net

    Mittwoch, 25. Juli 2012 10:01
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo,

    bist Du inzwischen weitergekommen?

    Gruss,
    Raul

    Raul Talmaciu, MICROSOFT 
    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Freitag, 27. Juli 2012 15:22
    |